Spanish

 Los recientes y costosos contratiempos de DeFi sirven como lecciones para el sector

El “pirateo” del DAO se encuentra profundamente en la memoria colectiva de la comunidad de criptomonedas. Después de un crowdfund extremadamente exitoso en mayo de 2016, el DAO duró poco más de un mes antes de que un atacante comenzara a drenar fondos del contrato inteligente, obteniendo Ether (ETH) por un valor de $ 70 millones.

Sin embargo, como algunos señalaron en ese momento, el incidente DAO no fue un truco en absoluto. El atacante simplemente explotó una vulnerabilidad en el código de contrato inteligente subyacente para que se comportara de una manera que los programadores no esperaban. Sin embargo, el incidente dividió a la comunidad Ethereum después de que se tomó la decisión de implementar una bifurcación dura que devolvería los fondos.

Avance rápido hasta principios de 2020, y había más de $ 1 mil millones en criptografía vinculada a las finanzas descentralizadas. Eso es $ 1 mil millones bajo la administración de contratos inteligentes. Entonces, a la luz de la historia, tal vez era inevitable que alguien finalmente encontrara formas de hacer que estas aplicaciones funcionen de una manera que nadie había previsto. El primero llegó en febrero de 2020, con dos ataques separados en la plataforma de negociación descentralizada bZx. Más recientemente, un pirata informático se hizo con $ 25 millones de la plataforma de préstamos china Lendf.me, operada por dForce.

Incluso cuando los hackers no están involucrados, las aplicaciones de DeFi han mostrado otras vulnerabilidades. Durante el “Jueves negro” de Crypto a mediados de marzo, MakerDAO liquidó más de $ 4 millones en préstamos a medida que el precio de ETH se desplomó. El colapso resultó en una votación rápida de gobierno y una subasta de deuda para remediar el daño.

Gran parte del comentario se ha centrado en si DeFi puede recuperarse o no de estos contratiempos. Según la historia del incidente de DAO, parece inevitable que DeFi se recupere. Quizás la pregunta más pertinente es, ¿qué pueden aprender los operadores de DeFi DApp de tales incidentes para ayudar a evitar que ocurran en el futuro?

Ganancias fáciles de dForce

El incidente más reciente relacionado con el hack Lendf.me ofrece algunas victorias fáciles. La plataforma es la DApp de préstamos más grande de China. Sin embargo, resulta que el hack se realizó como resultado de que dForce haya copiado el código de una versión anterior de Compound, otra aplicación de préstamos descentralizada. El antiguo código del compuesto no podía protegerse contra el tipo de ataques conocidos como “reentrada” específicamente para los tokens ERC-777.

Debido a este problema, el Compuesto no era compatible con los tokens ERC-777. Sin embargo, parece que cuando dForce copió el código, realmente no entendió esta vulnerabilidad, ya que no implementó las mismas medidas, permitiendo que los tokens ERC-777 se usaran en Lendf.me. En consecuencia, el atacante explotó la vulnerabilidad, utilizando el token imBTC ERC-777 para drenar $ 25 millones de la plataforma.

Desde entonces, el hacker ha devuelto los fondos, pero esto no es una defensa en sí misma. Según lo informado por Cointelegraph, dForce se ha enfrentado a críticas por no tomar suficientes medidas para prevenir tal ataque. Entonces, si suponiendo que dForce simplemente no supiera sobre el problema, ¿cómo podrían haberlo evitado? Alex Melikhov, CEO y cofundador de Equilibrium, emisor de la EOSDT stablecoin basada en EOS, es un gran admirador de la idea de las revisiones por pares. Le dijo a Cointelegraph que una “revisión de código por un tercero podría haber evitado el incidente”, y agregó:

“Un aspecto importante aquí es construir un marco de prueba y auditorías de código. El principio de cuatro ojos es perfectamente aplicable al desarrollo de código y ciertamente mitiga los riesgos de vulnerabilidad. A pesar de la asociación de dForce con PeckShield (que ha auditado públicamente su protocolo USDx y Yield Enhancing), parece que los auditores no han examinado el código de su protocolo de préstamo LendfMe “.

Dan Schatt, CEO y cofundador de la plataforma centralizada de préstamos Cred, está de acuerdo, incluso sugiriendo que la comunidad podría desempeñar un papel aquí. Le dijo a Cointelegraph: “Las recompensas de errores pueden ayudar a incentivar a la comunidad a buscar el tipo de vulnerabilidades que pueden conducir a ataques y una explotación de este tipo de vulnerabilidades”.

En el momento de la publicación, dForce tenía confirmado que el 100% de los usuarios afectados por el ataque habían sido reembolsados ​​a través de su esfuerzo de redistribución de activos. Por su parte, dForce respondió a la solicitud de comentarios de Cointelegraph. Mindao Yang, fundador de dForce, declaró que al reflexionar:

“Un ataque similar tuvo lugar en el hack de grupo Uniswap / imBTC antes de la [Lendf.me] incidente. La vulnerabilidad de Uniswap, relacionada con el token ERC777, se conocía desde fines de 2018, pero la combinación del token ERC777 y el código del Compuesto V1 que introduce una superficie de ataque de reentrada solo nos llamó la atención después del incidente. Podríamos haber estado más alertas cuando ocurrió el pirateo del grupo Uniswap / imBTC y podríamos haber sido más cuidadosos al incorporar nuevos activos “.

Yang continuó diciendo que la plataforma planea evitar ataques similares y se unirá a algunos expertos externos en el futuro:

“Contrataremos a los mejores consultores de seguridad de terceros para ayudarnos con una auditoría completa y para ayudarnos a fortalecer nuestras prácticas de seguridad futuras. Encontraremos el momento adecuado para volver a implementar un nuevo protocolo descentralizado del mercado monetario y otros protocolos. En el futuro, con su ayuda, presentaremos un proceso de integración riguroso y auditado al introducir activos en el ecosistema dForce “.

El portavoz confirmó que más detalles de las acciones tomadas a este respecto se compartirán en una futura publicación de blog.

BZx: un problema más complicado

Antes del reciente incidente de dForce, la plataforma de negociación DeFi bZx fue golpeada dos veces en el espacio de una semana. Estos ataques se redujeron menos a código con errores que la inmadurez y la liquidez relativamente baja del espacio de criptomonedas en general. Los intercambios de derivados, ya sean centralizados o descentralizados, se basan en oráculos de precios. Estos generalmente se toman de los mercados spot, utilizando un precio promedio de múltiples intercambios.

En el caso de las plataformas DeFi, el feed de precios proviene de intercambios descentralizados como Uniswap y Kyber. El problema es que debido a que algunos tokens tienen poca liquidez en estas plataformas, es relativamente fácil manipular el precio.

Relacionado: ¿Son los ataques de préstamos BZx Flash el fin de DeFi?

BZx manejó bien el incidente, cubriendo $ 900,000 de las pérdidas de los usuarios de un fondo de seguros. Los investigadores de Deribit, Su Zhu y Hasu, han explicado previamente cómo los oráculos de precios son vulnerables a la manipulación, incluso en intercambios centralizados como BitMEX. En DeFi, donde se confía en los intercambios descentralizados para obtener datos sobre el precio del oráculo, se podría decir que este accidente estaba en juego.

Sin embargo, presenta un enigma intrigante: la única forma de resolver el desafío es atraer a más usuarios para inyectar liquidez en los DEX para mitigar la vulnerabilidad a la manipulación. Sin embargo, mientras exista el riesgo de que se agoten los fondos, DeFi tendrá dificultades para atraer usuarios.

La vulnerabilidad clave

Finalmente, volviendo al reciente evento del Jueves Negro, que causó liquidaciones masivas en MakerDAO: Por mucho que el colapso de los precios estuviera completamente fuera del control de Maker, ¿hay alguna lección que se le pueda sacar?

El colapso de marzo y las liquidaciones posteriores resultaron en una votación para cambiar los parámetros de la subasta del fabricante e introducir el USDC, un tipo de activo colateral no correlacionado con el mercado de cifrado. Los detractores de DeFi sin duda se burlarán de la ironía de que una moneda estable respaldada por criptografía deba ser garantizada por un equivalente centralizado.

Sin embargo, tal vez la introducción de USDC por parte de Maker muestra una cierta madurez en el reconocimiento de la comunidad de que la corta edad del mercado de DeFi significa que necesita seguir el ejemplo de sus contrapartes relativamente estables y centralizadas hasta que pueda sostenerse por sí misma. Después de todo, el fundador de Maker, Rune Christensen, le dijo recientemente a Cointelegraph en una entrevista que cree que DeFi finalmente se fusionará con CeFi, lo que ilustra que quizás el uso de USDC por parte de Maker es un pronosticador temprano de este movimiento.

Habiendo alcanzado el hito de $ 1 mil millones este año, es una cuestión de cuándo (en lugar de si) DeFi se recuperará de estos contratiempos y recuperará ese número una vez más. Sin embargo, el hecho de que estos reveses tuvieron lugar demuestra que los fundadores de DeFi no deberían centrarse en lo lejos que ha llegado el sector, sino en lo lejos que todavía tiene que llegar. Al aprender de incidentes recientes, existe la posibilidad de una recuperación más rápida.

About the author

Kim Diaz

Kim recently joined the team, and she writes for the Headline column of the website. She has done major in English, and a having a diploma in Journalism.

Add Comment

Click here to post a comment